情報セキュリティ 第9回 ハッシュ関数. 脅威と暗号技術 セキュリティに対する脅威 脅かされる特性 暗号技術 機密性 正真性 認証 否認不可能性 盗聴 (秘密が漏れる) 改竄 (情報が書き換えられる) なりすまし (正しい送信者のふりをす る) 否認 (後から私じゃないと言 う) 共通鍵暗号 公開鍵暗号.

Slides:



Advertisements
Similar presentations
組合せ最適化輪講 2.3 連結性 川原 純. 2.3 連結性 内容 – グラフ上の節点をすべてたどるアルゴリズム 計算機上でのグラフの表現 – 強連結成分を求めるアルゴリズム トポロジカル順序を求める方法も – k- 連結、 k- 辺連結について – 2- 連結グラフの耳分解について.
Advertisements

平成 16 年度 第 2 回大垣市情報ボランティア スキルアップ研修会 セキュリティについて 2004 年 5 月 29 日 NPO 法人パソコンまるごとアシスト 河合 修 (情報セキュリティアドミニストレータ)
1 高速フーリエ変換 (fast Fourier transform). 2 高速フーリエ変換とは? – 簡単に言うとフーリエ変換を効率よく計算 する方法 – アルゴリズムの設計技法は分割統治法に基 づいている 今回の目的は? – 多項式の積を求める問題を取り上げ、高速 フーリエ変換のアルゴリズムを用いた解法.
情報セキュリティ 第3回 現代暗号の基礎数理. 脅威と暗号技術 セキュリティに対する脅威 脅かされる特性 暗号技術 機密性 正真性 認証 否認不可能性 盗聴 (秘密が漏れる) 改竄 (情報が書き換えられる) なりすまし (正しい送信者のふりをする) 否認 (後から私じゃないと言う) 共通鍵暗号 公開鍵暗号.
効率的に計算可能な 加法的誤りの訂正可能性 安永 憲司 九州先端科学技術研究所 SITA 2012 @ 別府湾ロイヤルホテル
情報セキュリティ 第12回 公開鍵暗号基盤. 脅威と暗号技術 セキュリティに対する脅威 脅かされる特性 暗号技術 機密性 正真性 認証 否認不可能性 盗聴 (秘密が漏れる) 改竄 (情報が書き換えられる) なりすまし (正しい送信者のふりをす る) 否認 (後から私じゃないと言 う) 共通鍵暗号 公開鍵暗号.
・ω・.
富山大学 公開講座 2008 「QRコードを作ろう!」 ~ QRコードを作ろう! ~.
駒澤大学 経営学部 情報セキュリティ B 公開鍵暗号による 認証つきの秘匿通信 ―― 鍵に注目して ――
情報工学科 06A2055 平塚 翔太 Hiratsuka Shota
( ) ( ) 行 列 式 置 換 n文字の置換σ: n個の文字{1,2,・・・,n}から自分自身への1対1の写像 1 2 ・・・ n
黒澤 馨 (茨城大学) 情報セキュリティ特論(4) 黒澤 馨 (茨城大学) 2017/3/4 confidential.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
近似アルゴリズム 第10章 終了時刻最小化スケジューリング
データ構造と アルゴリズム 理工学部 情報システム工学科 新田直也.
黒澤 馨 (茨城大学) 情報セキュリティ特論(6) 黒澤 馨 (茨城大学) 2017/3/13 confidential.
分子生物情報学 動的計画法に基づく配列比較法 (ペアワイズアライメント法)
論理式の表現を数学的に取り扱いやすくするために代数学の助けを借りる.
2012年度 情報数理 ~ QRコードを作ろう!(1) ~.
2008年度 情報数理 ~ QRコードを作ろう!(1) ~.
データ構造と アルゴリズム 知能情報学部 新田直也.
第4回 カルノー図による組合せ回路の簡単化 瀬戸 目標 ・AND-OR二段回路の実現コスト(面積、遅延)が出せる
8.Intersecting Families
黒澤 馨 (茨城大学) 情報セキュリティ特論(7) 黒澤 馨 (茨城大学)
2010年度 情報数理 ~ QRコードを作ろう!(1) ~.
※DES/RSA暗号に関する計算問題(演習・レポート課題)と似た問題は出題しません。
プログラミング基礎a 第8回 プログラムの設計 アルゴリズムとデータ構造
Ibaraki Univ. Dept of Electrical & Electronic Eng.
第10回 情報セキュリティ 伊藤 高廣 計算機リテラシーM 第10回 情報セキュリティ 伊藤 高廣
黒澤 馨 (茨城大学) 情報セキュリティ特論(5) 黒澤 馨 (茨城大学)
Q q 情報セキュリティ 第3回:2005年4月28日(金) q q.
Q q 情報セキュリティ 第3回:2005年4月22日(金) q q.
Q q 情報セキュリティ 第8回:2006年6月9日(金) q q.
情報セキュリティ  第4回 メッセージ認証コード.
第二章 インターネットで やり取りする情報を守る
情報セキュリティ  第11回 デジタル署名.
独立成分分析 5 アルゴリズムの安定性と効率 2007/10/24   名雪 勲.
情報セキュリティ  第8回 RSA暗号.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
武藤研究室セキュリティー藩暗号犯メンバー 環境情報学部4年 櫻井 環境情報学部3年 秋本 環境情報学部3年 堀田 環境情報学部2年 卯野木
5.RSA暗号 素因数分解の困難性を利用した暗号.
Extractor D3 川原 純.
25. Randomized Algorithms
Q q 情報セキュリティ 第8回:2005年6月3日(金) q q.
Q q 情報セキュリティ 第7回:2006年6月2日(金) q q.
2012年度 情報数理 ~ 様々なデジタル情報(1) ~.
暗号技術 ~暗号技術の基本原理~ (1週目) 情報工学科  04A1004 石川 真悟.
Q q 情報セキュリティ 第7回:2007年6月1日(金) q q.
プログラミング基礎a 第8回 プログラムの設計 アルゴリズムとデータ構造
Q q 情報セキュリティ 第4回:2005年5月12日(金) q q.
音声データにおける 墨塗り署名ツール“SANI”の開発
生物情報ソフトウェア特論 (2)たたみ込みとハッシュに 基づくマッチング
計算の理論 I 反復補題 月曜3校時 大月 美佳 平成15年7月14日 佐賀大学知能情報システム学科.
第14回 前半:ラムダ計算(演習付) 後半:小テスト
Q q 情報セキュリティ 第12回:2004年6月25日(金) の補足 q q.
4.プッシュダウンオートマトンと 文脈自由文法の等価性
Q q 情報セキュリティ 2006年6月30日(金) 第2回レポート課題の解説 q q.
計算の理論 I 反復補題 火曜3校時 大月 美佳 平成16年7月13日 佐賀大学知能情報システム学科.
ネット時代のセキュリティ3(暗号化) 2SK 情報機器工学.
博士たちの愛する組合せ論 徳山 豪 東北大学 Combinatorics that professors love
Q q 情報セキュリティ 第6回:2005年5月26日(金) q q.
Q q 情報セキュリティ 第8回:2004年5月28日(金) の補足 q q.
暗号技術・セキュリティ 情報工学科  04A1004 石川 真悟.
電子投票班 (電子オークション班) 後藤研究室 大木島 航.
データの改竄を防ぐ仕組み 2002/9/12 牧之内研究室「インターネット実習」Webページ
情報生命科学特別講義III (3)たたみ込みとハッシュに 基づくマッチング
※演習や小テスト(DES/RSA暗号に関する計算問題)と似た問題は出題しません。
Q q 情報セキュリティ 第7回:2005年5月27日(金) q q.
分岐(If-Else, Else if, Switch) ループ(While, For, Do-while)
2012年度 情報数理 ~ ハミング距離 ~.
Presentation transcript:

情報セキュリティ 第9回 ハッシュ関数

脅威と暗号技術 セキュリティに対する脅威 脅かされる特性 暗号技術 機密性 正真性 認証 否認不可能性 盗聴 (秘密が漏れる) 改竄 (情報が書き換えられる) なりすまし (正しい送信者のふりをす る) 否認 (後から私じゃないと言 う) 共通鍵暗号 公開鍵暗号 一方向ハッシュ関数 メッセージ認証コード デジタル署名

ハッシュ関数 長いメッセージを短いビット (ハッシュ値)に圧縮する関 数。 ハッシュ値は固定長。 衝突困難なハッシュ関数 H ハッシュ値が一致する x と x’ の 対 ( つまり、 H(x)=H(x’) を満た す x と x’) を効率よく見つける ことが困難なハッシュ関数。 固定長圧縮関数 ある固定長のメッセージを ハッシュ値に変換する関数。 長いメッセージのハッシュ値 を求めるためには、固定長圧 縮関数を繰返し適用する。 鳩ノ巣原理 n+1 羽の鳩が n 個の巣に入 る時、 2 羽以上の鳩が入る 巣が少なくとも一つ存在す る。 バースデイパラドックス 鳩ノ巣原理により、 366 人 集まると誕生日が一致する ペアが必ず存在する。 20 人集まった場合、誕生日 が一致するペアが存在する 確率は約 0.3 である(意外 に多い) 。 多項式時間で解 けるアルゴリズ ム

バースデイパラドックスの 計算 n 個のバケツに q 個のボールを ランダムに入れる問題を考え る。 2 個以上のボールが少なくとも 1つのバケツに入る確率を P coll とする。 P coll =1 - n(n-1)..(n-q+1)/n q > 1 - e -1/n ( q-1) =1 - e -q(q-1)/2n 1 ≦ q ≦ (2n) 1/2 の場合を考える。 x=q(q-1)/2n は、 0 ≦ x < 1 となる。 P coll > 1 - e -x =x(1-e -x )/x > x(1-e -1 ) = q(q-1)/n×(1-e -1 )/2 = q(q-1)/n× … … n 個のバケツ q 個のボール (1-e -x )/x は 単調減少 q=n 1/2 ∈ [1,(2n) 1/2 ] の時、 P coll > q(q-1)/n× = (1-n -1/2 ) 大きな n に対して、 P coll > 0.3 n=365 の時、 n 1/2 ≑ 19 ハッシュ値が k ビットの場 合、 2 k/2 回ハッシュ値を計 算する と確率 0.3 で衝突が起きる。 バースデイパラドック スの場合、 n=365, q=20 e -x >1-x

メッセージ長がnの整数倍の 場合 1. メッセージ x をnビット毎に分割 する。 x=x 1 o x 2 o.. o x t |x 1 |=|x 2 |=..=|x t |=n 2.最初の関数fのハッシュ値 h 1 は: h 1 =f(0 k o x 1 ) 3. i=2,..,t に対し、 h i =f(h i-1 o x i ) 4.関数 H のハッシュ値 H(x) は、 H(x)=h t MD(Merkle-Damgard) 変 換 MD 変換 任意に長いメッセージをハッ シュ値に圧縮するハッシュ関 数を構成する一つの方法。 衝突困難な関数fを繰返し使 う。 関数fは k+n ビットのメッ セージを k ビットのハッシュ値 に圧縮する。 oはビット列の連 結 |x| は x の長さ ff ff 0k0k x1x1 x2x2 x3x3 xtxt h1h1 h2h2 h t-1 htht 関数 H メッセー ジ ハッシュ 値 h 1 =f(0 k o x 1 ) h t =f(h t-1 o x t )

関数 H は衝突困難 (証明) H(x)=H(x’) となる対 x と x’ ( x≠x’ )が見つかったと仮定する。 場合1: |x|=|x’| h t =h’ t より、 f(h t -1 o x t )=f(h’ t -1 o x’ t ) 。 f は衝突困難より、 h t -1 =h’ t -1 かつ x t =x’ t である。 h t -1 =h’ t -1 より、 f(h t -2 o x t -1 )=f(h’ t -2 o x’ t -1 ) 。 f は衝突困難より、 h t -2 =h’ t -2 かつ x t -1 =x’ t -1 である。 同じ議論を繰返し、最後に f(0 k o x 1 )=f(0 k o x’ 1 ) 。従って、 x 1 =x’ 1,..,x t =x’ t となり矛盾。 場合2: |x|≠|x’| ( |x|<|x’| とする) 場合1と同じ議論をすると、 f(0 k o x 1 )=f(h’ u-1 o x’ u ) となる。 0 k ≠h’ u-1 の場合fの衝突 ペアが 得られ矛盾。一方、 0 k =h’ u-1 の場合 f(z)=0 k となる z が得られ矛盾。 x’ に対応した変数に「 ’ 」を付 加 f ff f 0k0k x1x1 x2x2 x3x3 xtxt h1h1 h2h2 h t-1 htht f ff f 0k0k x’1x’1 x’2x’2 x’3x’3 x’tx’t h’1h’1 h’2h’2 h’ t-1 h’th’t メッセージ x メッセージ x’ 関数 H 定理: 「 f が衝突困難かつ f(z)=0 k となる z を求めることが困難」⇒「 H は衝 突困難」

MD 変換の一般形 メッセージ長がnの整数倍でな い場合 (予備変換) 1.メッセージ x をn -1 ビット毎に分 割 x=x 1 o x 2 o.. o x t |x 1 |=|x 2 |=..=|x t-1 |=n-1, |x t |=n-1-d 2. y 1 =x 1,..,y t-1 =x t-1, y t =x t o 0 d 3. y t+1 を d の2進表現とする ff ff 0k0k 0ox10ox1 1ox21ox2 1ox31ox3 1oxto0d1oxto0d h1h1 h2h2 h t-1 h t+1 (主変換) 1 . h 1 =f(0 k+1 o y 1 ) 3. i=2,..,t+1 に対し、 h i =f(h i-1 o 1 o y i ) 4.関数 H のハッシュ値 H(x) は H(x)=h t +1 定理: 「 f が衝突困難」⇒「 H は衝突困 難」 ハッシュ 値 f 1 o y t+1 htht x1 x1 x2 x2 x3 x3 x t メッセー ジ 関数 H d の2進表現

SHA-1 ( Secure Hash Algorithm ) SHA-1 について 米国政府のシステム調達 基準で規定された衝突困 難なハッシュ関数 2 64 ビット未満の任意の メッセージを 160bit に圧 縮 固定長圧縮関数fを繰返 し利用する 関数 f は ビットの 入力を 160 ビットに圧縮 する 前身の MD4 、 MD5 ( k=128bit) は衝突ペアが 既知 表記法 1.1ワード=32ビット 2.1ブロック=16ワー ド 3.∧:論理積、∨:論理和、 ¬:ビット反転、 :排他的論理和 4.ワード X,Y に対して、 X+Y は、 X+Y mod 2 32 5. S n (X) : n ビット左巡回 シフト S n (X)=(X ≪ n) ∨ (X ≫ 32-n) n ビット巡回シフト デジタル 署名で使 用 衝突ペアを確率 0.3 で見つける ハッシュ値の計算 回数 2 160/2 =2 80 = (2 10 ) 8 =(10 3 ) 8 = /2 =2 64 = (2 10 ) 6.4 =(10 3 ) 6.4 = GHz マシンが 1 クロックで1っの メッセージのハッシュ値を計算出来 ると仮定する。衝突ペアを確率 0.3 で 見つけるためには /10 9 x60x60x24x365 ≒ 10 7 年必要。

SHA-1 (B ∧ C) ∨ (( ¬ B) ∧ D) if 0 ≦ t ≦ 19 B C D if 20 ≦ t ≦ 39 (B ∧ C) ∨ (B ∧ D) ∨ (C ∧ D) if 40 ≦ t ≦ 59 B C D if 60 ≦ t ≦ 79 5A if 0 ≦ t ≦ 19 6ED9EBA1 if 20 ≦ t ≦ 39 8F1BBCDC if 40 ≦ t ≦ 59 CA62C1D6 if 60 ≦ t ≦ 79 f t (B,C,D)= メッセージ Lの 2 進表現 1 0…0 L bit m bit64 bit M1M1 MnMn W0W0 W1W1 W 15 … 1 ワー ド (=32bit) 1 ブロック (=16 ワー ド ) K t = パディング ( ブロック境 界) H0H0 H1H1 H2H2 H3H3 H4H4 H0H0 H1H1 H2H2 H3H3 H4H4 K 0, W 0 K 1, W 1 K 79, W 79 MiMi M 1 から M n まで実行 W t =S 1 (W t-3 W t-8 W t-14 W t-16 ) 16 ≦ t ≦ 79 A B C D E KtKt WtWt ≪ 30 ≪5≪5 ftft ブロック M i のハッシュ 値 … … … 前のブロック M i-1 のハッシュ 値

2 回目小テスト(理解度確認試 験 )について 実施日:第10回講義の日 成績評価に関係する。 持ち込み可 教科書または、パワーポイント参照可。 試験内容 第1回~9回講義内容